CVE-2020-27217
CVE-2020-27217
En resumen
El adaptador AMQP de Eclipse Hono no verifica si los mensajes recibidos de dispositivos superan el tamaño máximo declarado, permitiendo que un atacante envíe mensajes gigantes que causen el fallo del adaptador por agotamiento de memoria.
Detalle técnico
El adaptador AMQP en Eclipse Hono 1.3.0–1.4.0 no valida el tamaño de los mensajes recibidos contra el max-message-size anunciado durante el establecimiento del enlace, violando la especificación AMQP 1.0. Un dispositivo malicioso puede enviar mensajes de tamaño ilimitado, provocando una excepción de falta de memoria y negación de servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
In Eclipse Hono version 1.3.0 and 1.4.0 the AMQP protocol adapter does not verify the size of AMQP messages received from devices. In particular, a device may send messages that are bigger than the max-message-size that the protocol adapter has indicated during link establishment. While the AMQP 1.0 protocol explicitly disallows a peer to send such messages, a hand crafted AMQP 1.0 client could exploit this behavior in order to send a message of unlimited size to the adapter, eventually causing the adapter to fail with an out of memory exception.
Productos afectados
The Eclipse Foundation · Eclipse Hono¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →